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MASQUAGE DE DONNEES DECOMPOSEES DANS UN SYSTEME DE RESIDT7S 

La presente invention concerne les traitements 
algorithmiques effectues sur des donnees numeriques manipulees 
par un microprocesseur ou un circuit integre . L 1 invention 
concerne plus particulierement les traitements operes sur des 
5 donnees numeriques dans des applications cryptographiques de 
chiffrement ou d' authentif ication mettant en oeuvre des 
algorithmes dits securises. Dans de telles applications, les 
donnees manipulees par les algorithmes et sur lesquels sont 
effectuees des operations de base (additions, multiplications) 

10 doivent pouvoir etre protegees contre le piratage, c'est-a-dire 
des attaques exterieures visant a decouvrir des donnees secretes 
et/ou 1' algorithme de calcul. 

Par exemple, lorsqu'un circuit integre (qu l il s ! agisse 
d'un microprocesseur ou d f un operateur en logique cablee) 

15 execute un calcul sur des donnees, ce calcul influe sur sa 
consommation. Une analyse de la consommation du circuit integre 
pendant 1 1 execution de 1 1 algorithme peut permette a un pirate de 
decouvrir les donnees traitees ou 1' algorithme qui les execute. 
De telles attaques par analyse de la consommation d'un circuit 

2 0 integre manipulant des donnees sont connues sous les 
denominations SPA (Single Power Analysis) ou DPA (Differential 
Power Analysis) . 
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Un exemple d' application de la presente invention 
conceme les procedures d' authentif ication de fichiers 
numeriques (par exemple, audio) ou d' elements de traitement 
elect roniques (par exemple, cartes a puces) afin de valider 
l'autorisation de 1 >utilisateur a acceder a des informations 
(par exemple, donnees audio ou donnees sur la puce) . 

Pour des questions de rapidite de calcul et de 
facilite d' implementation des algorithmes, les nombres sur 
lesquels on souhaite effectuer des operations par des moyens de 
calculs automatiques peuvent etre decomposes par application du 
theoreme dit des restes chinois (CRT) . 

Le theoreme des restes chinois, applique a des nombres 
entiers, peut s'exprimer de la facon suivante. Pour toute suite 
de nombres m ± (i compris entre 1 et n) premiers entre eux et 
pour toute suite d' entiers x i7 il existe un unique nombre entier 
x inferieur au produit de la suite de nombres premiers de la 
base de decomposition, tel que pour tout i: 
= x modulo m-L . 
Cela signifie que, pour une suite finie de nombres mi, 
premiers entre eux, on peut representer tout nombre inferieur au 
produit de cette suite finie de maniere unique, en une suite 
d' entiers positifs en nombre egal au nombre d' elements de la 
suite de nombres premiers entre eux. Cette representation est 
appelee la representation par systeme de residus (Residu Number 
System, RNS) . 

En d'autres termes, pour tout nombre entier x compris 
entre 0 et M, ou M represente le produit des nombres premiers 
entre eux m ± de la base de decomposition, on peut ecrire 

„-l 



x = 



n 
i=l 



n 



M. 



m-; 



(formule 1) 



M 



M 

avec M = EI m i < M i = , 

i=l mi 
1' inverse du nombre Mi modulo mi. La notation 



et ou 



est 



m-i 



est utilisee 



pour designer un nombre (ici, le resultat de la somme) modulo M. 



1er depot 



# 



L 1 interet des systemes de residus est que les 
operations telles que 1' addition, la soustraction et la 
multiplication sont simplifiees et peuvent etre executees dans 
des architectures paralleles. En fait, les operations 
5 elementaires peuvent etre effectuees sur chaque entier de la 
decomposition du nortibre a calculer. Le resultat est ensuite 
obtenu en appliquant la formule 1 ci-dessus au resultat. 

Par exemple, deux nombres x et y sur lesquels on 
souhaite effectuer un calcul sont decomposes en utilisant la 
10 meme base de nombres premiers entre eux. Par suite, les 
operations d } addition, de soustraction et de produit sont 
effectuees sur les elements de la decomposition, modulo les 
nombres premiers correspondants . On obtient un ensemble de 
valeurs dans la base de decomposition, que I 1 on recombine pour 
15 obtenir le resultat. 

L 1 interet majeur dans une execution automatique des 
calculs au moyen de circuits integres est que les operations 
individuelles modulo les nombres de la base de decomposition 
concernent des nombres ayant toujours la meme taille, ce qui 
20 permet l 1 execution de ces calculs au moyen d 1 architectures 
paralleles et dans une meme duree . 

Toutefois, un inconvenient est que les nombres traites 
sont plus facilement detectables par les differentes attaques, 
notamment, par analyse de la consommation du circuit integre . 

2 5 Classiquement, pour masquer le traitement d'un ou 

plusieurs nombres, on combine ces nombres avec des quant ites 
aleatoires, avant le traitement algorithmique . 

Un inconvenient est que cela modifie le ou les nombres 
traites, ce qui impose d' effectuer une modification inverse en 

3 0 fin de traitement pour recuperer le resultat attendu. 

Un autre inconvenient est que le masquage accroit la 
complexite du traitement ainsi que la duree du calcul entier. 

Plus generalement, le systeme des residus appliquant 
le theoreme des restes chinois s 1 applique lorsque les operations 
3 5 et les operandes sont celles d'un corps fini quelconque. Par 
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exemple, ce systeme s< applique a un corps de polynomes modulo un 
polynome irreductible, ou au corps des entiers modulo un nombre 
premier . 

La presente invention vise a proposer une solution 
pour masquer 1- execution de calculs algorithmiques utilisant des 
representations par systeme de residus. 

L 1 invention vise plus particulierement a proposer une 
solution de masquage qui soit independante de l'algorithme mis 
en oeuvre, c'est-a-dire qui puisse s'appliquer quels que soient 
les calculs executes sur les nombres decomposes. 

L 1 invention vise egalement a proposer une solution qui 
ne nuit pas a la rapidite d' execution de l'algorithme et, 
notamment, qui n'ajoute pas d'etape de calcul supplemental^. 

Pour atteindre ces objets et d'autres, la presente 
invention prevoit un precede de masquage de donnees numeriques 
manipulees par un algorithme et decomposes par un systeme de 
residus a partir d'une base finie de nombres ou de polynomes 
premiers entre eux, consistant a rendre variable la base de 

decomposition . 

Selon un mode de mise en oeuvre de la presente 
invention, la base de decomposition est choisie dans une table 
memorisee d- ensembles de nombres ou de polynomes premiers entre 
eux. 

Selon un mode de mise en oeuvre de la presente 
invention, 1' ensemble de nombres ou de polynomes premiers entre 
eux, servant a la decomposition par systeme de residus, est 
choisi aleatoirement dans la table memorisee, a chaque nouvelle 
application de l'algorithme. 

Selon un mode de mise en oeuvre de la presente 
invention, la base de decomposition est calculee par un 
generateur pseudo-aleatoire. 

Selon un mode de mise en oeuvre de la presente 
invention, la base est choisie pour etre compatible avec les 
longueurs des nombres ou polynomes traites par l'algorithme. 



1er depot 



Selon un mode de mise en oeuvre de la presente 
invention, le procede est applique a des donnees d 1 entree deja 
decomposees par un systeme de residus dans une base d'origine, 
les donnees d' entrees subissant un changement de base de 
5 decomposition et le resultat fourni par 1 1 algorithme subissant, 
de preference, une transformation inverse vers ladite base 
d ' origine . 

Selon un mode de mise en oeuvre de la presente 
invention, le procede est applique a des donnees d' entree non 
10 encore decoraposees . 

Selon un mode de mise en oeuvre de la presente 
invention, un ou plusieurs changement s de base de decomposition 
sont effectues pendant l 1 execution de 1 1 algorithme . 

L 1 invention prevoit egalement un circuit de traitement 
15 algorithmique de donnees decomposees par un systeme de residus a 
partir d'une base finie de nombres ou de polynomes premiers 
entre eux, comportant un circuit de selection ou de generation, 
et de memorisation temporaire de ladite base. 

Selon un mode de realisation de la presente invention, 
2 0 le circuit comporte un element de stockage d'une table de bases 
de nombres ou de polynomes premiers entre eux, ledit circuit de 
selection choisissant, a chaque application de 1 1 algorithme, une 
base dans ladite table. 

Selon un mode de realisation de la presente invention, 

2 5 le circuit comporte un element de verification de conformite, 

entre la base selectionnee pour application des decompositions 
par systeme de residus et les circuits de calculs du circuit 
executant 1 1 algorithme . 

Ces objets, caracteristiques et avantages, ainsi que 

3 0 d'autres de la presente invention seront exposes en detail dans 

la description suivante de modes de realisation particuliers 
faite a titre non-limitatif dans la figure annexee qui illustre, 
sous forme de blocs et de fagon tres schematique, un mode de 
mise en oeuvre du procede de masquage selon 1' invention. 
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Par souci de clarte, 1« invention sera exposee ci-apres 
en relation avec une application a des nombres entiers 
decomposes a partir d'une base de nombre premiers entre eux. On 
notera toutefois qu'elle s' applique plus generalement a une 
decomposition de polynomes d'un corps modulo un polynome 
irreductible a partir d'une base de polynomes premiers entre 
eux. 

Une caracteristique de la presente invention est de 
modifier la base de decomposition/recombinaison des nombres 
entiers traites par un algorithme en application d'un systeme de 
residus . 

Selon 1' invention, on change la representation par le 
systeme de residus, de preference, a chaque fois qu'un nouveau 
groupe de nombres entiers est soumis a une decomposition pour un 
traitement algorithmique , ou pour une operation de calcul. 

Ainsi, a la difference des solutions classiques de 
masquage de calcul par 1 ' introduction de nombres aleatoires dans 
les nombres traites pour modifier ceux-ci, 1 ' invention prevoit 
de rendre variable la representation du nombre, celui-ci rest ant 
inchange . 

Un avantage important par rapport a 1 ' introduction 
d'un nombre aleatoire est que la recuperation du resultat 
attendu ne necessite pas de calcul supplementaire par rapport a 
1' application classique des representations par systeme de 
residus. En effet, seule la base de decomposition doit §tre 
indiquee au processus de recombinaison classique. En d'autres 
termes, on rend la base de decomposition variable. 

Un autre avantage est que la duree de calcul n'est que 
peu augmentee par le masquage. La seule duree supplementaire 
correspond au changement de la base de decomposition (lecture en 
memoire), ce qui est negligeable par rapport aux calculs 
supplementaires requis, au moins en debut et en fin 
d- algorithme, pour combiner les nombres (ou les polynomes) 
traites avec un nombre aleatoire. 
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La figure annexee represente, sous forme de blocs, un 
exemple d 1 application d ! une representation par systeme de 
residus a un algorithme 1 (ALGO) devant traiter, par exemple, au 
moins deux nombres entiers x et y et fournir au moins un 
5 resultat r. 

Comme precedemment , pour faciliter les calculs, 
1 1 algorithme 1 execute des operations elementaires sur chaque 
element de decompositions {x^, . . . , x-^, . . . . , x n } , {yi/ - - - , yi, 
• • • ' Yn) des nombres x et y dans la base de decomposition par un 
10 systeme de residus. Cette decomposition s'effectue (blocs 2 et 
3, BT) avant 1 1 introduction des nombres dans I 1 algorithme 1 
proprement dit, a partir d f une base {n^, . .., m^, . n^} de 
nombres premiers entre eux, ou n represente le nombre d' elements 
de la base qui correspond au nombre d 1 elements des suites de 
15 decomposition des nombres x et y. 

L 1 algorithme 1, c'est-a-dire le bloc de traitement, 
fournit le resultat sous la forme d'une suite de nombres entiers 
{r lf . .., r-L, . .., r n } . Cette suite de n nombres est, dans cet 
exemple, recombinee (bloc 4, IBT) a partir de la meme base {m lr 

2 0 . . m±, n^} de nombres premiers pour obtenir le resultat 

r . 

Selon la presente invention, la base de decomposition 
. . m^, . . ., %} est fournie par un element 5 (SELECT{m}) 
de selection et de memorisation temporaire de la suite de 
25 nombres (ou de polynomes) premiers entre eux de decomposition 
par systeme de residus. Cette selection est, de preference, 
changee a chaque application de 1' algorithme 1, c'est-a-dire a 
chaque nouvelle introduction de grandeurs x, y (a chaque fois 
qu f il est necessaire de decomposer des valeurs a prendre en 

3 0 compte par le calcul algorithmique pour l'obtention d'un 

resultat recompose sur la base du meme systeme de residus) . Si 
plus de deux nombres sont utilises, ou si d'autres nombres 
interviennent a d'autres moments dans 1 1 algorithme , on veillera 
a maintenir Line meme base pour tous les nombres. 
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Selon la provenance et la destination des donnees 
d' entree de 1 1 algorithme , les decompositions 2 et 3 peuvent etre 
faites plus en amont, par exemple, si les donnees d 1 entrees 
proviennent de sorties d'un traitement par systeme de residus. 
De meme, le ou les resultats peuvent etre fournis sous forme 
decomposee. Cela sera notainment le cas si 1 1 algorithme dont 
1' execution est masquee par 1' invention est imbrique dans une 
chaine de traitement utilisant un systeme de residus. Dans ce 
cas, les blocs 2, 3 et 4 executent des changements de base pour 
convertir les donnees d 1 entree representees dans une certaine 
base de decomposition en une base selectionnee par l 1 element 5 
et pour restituer les donnees de sorties dans la base d 1 entree . 

Selon un autre mode de realisation, des changements de 
base (additionnels ou non) peuvent intervenir en cours de 
1 1 algorithme . Ces changements sont alors selectionnes au moyen 
de bloc 5 de la meme fagon que la transformation initiale. La 
restitution des nombres traites est alors obtenue par une seule 
transformation inverse effectuee (pas necessairement en fin 
d 1 algorithme) selon la derniere base utilisee. 

Plusieurs methodes peuvent etre utilisees pour 
selectionner la base de decomposition ou pour changer de base en 

cours de calcul . 

Selon un premier mode de mise en oeuvre, une table 6 
d' ensembles {m} de nombres premiers entre eux est stockee dans 
un element de memorisation et on prevoit une selection (par 
exemple, aleatoire) d'un des ensembles de la table memorisee a 
cbaque nouvelle decomposition, chaque ensemble representant une 
base dans le systeme des residus* 

Selon un autre exemple de mise en oeuvre, on utilise 
un generateur de suites de nombres premiers entre eux qui genere 
(a la volee) , de fagon pseudo- aleatoire pour etre compatible 
avec 1' architecture parallele du circuit executant 1' algorithme 
l r la base de decomposition {m^, ♦ . . , m^, . • . , m n } . 

On notera que, pour que la decomposition ou le 
changement de base soit different d'un calcul a un autre, il 
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suffit que deux norabres de la base de decomposition choisie 
soient inverses, c ? est-a-dire places dans un ordre different 
dans la suite des nombres de la base. II est par consequent 
particulierement simple, de faire varier la decomposition de 
5 n'iirtporte quelle donnee numerique d f entree tout en restant 
compatible avec un meme circuit de traitement par architecture 
parallele. II suffit de modifier l'aiguillage des donnees 
decomposees en fonction de l f ordre des nombres (ou des 
polynomes) premiers entre eux de la base. L.e mode de 

10 transformation de la base par changement d' ordre des nombres de 
celle-ci conditionne cependant la qualite du caractere aleatoire 
de la representation des nombres dans le systeme des residus. 

Un avantage de la presente invention est que sa mise 
en oeuvre est independante de 1 1 algorithme execute . 

15 Un autre avantage de 1' invent ion est qu'elle ne 

necessite pas de recalcul specif ique a 1 1 issu de 1 'algorithme 
pour recuperer le nombre attendu. En effet, dans toute structure 
a traitement algorithmique par application du theoreme des 
restes chinois, une etape de recombinaison a partir de la base 

2 0 de nombres ou polynomes premiers entre eux est prevue pour 

restituer le resultat. 

Un exemple d 1 algorithme ou 1' invention s' applique est 
l 1 algorithme de type RSA tel que decrit dans 1' article "Modular 
multiplication and base extension in residue number systems" de 
25 J.-C. Bajard, L.-S. Didier et P. Kornerup, publie par N. 
Burgess, rapport de Arith 15, 15eme symposium IEEE sur 
1 'arithmetique inf ormatique, Vail, Colorado, USA, Juin 2001, 
pages 59-65. 

Bien entendu, la presente invention est susceptible de 

3 0 di verses variantes et modifications qui apparaitront a l'homme 

de l'art. En particulier, l 1 invention s 1 applique quel que soit 
le nombre de donnees d 1 entree de l 1 algorithme et quel que soit 
le nombre de donnees fournies par cet algorithme, pourvu que 
toutes les donnees d' entree soient decomposees a partir de la 
3 5 meme base de nombres ou polynomes premiers entre eux. 
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De plus, le choix de la taille des ensembles de 
nombres ou polynomes premiers constituant la base de 
decomposition depend de 1 'application et est choisi de facon 
class ique . 

En outre, la realisation pratique de 1 1 invention a 
partir des indications fonctionnelles donnees ci-dessus est a la 
portee de l'homme du metier en utilisant des moyens connus. La 
mise en oeuvre de 1 ' invention peut etre logicielle ou par des 
machines d'etats en logique cablee. Par exemple, mis en oeuvre 
de fagon materielle, les blocs 2 et 3 de decomposition ou de 
changement de base des donnees d' entree peuvent etre constitues 
d'un ou plusieurs circuits selon que le changement de base est 
effectue en parallele ou successiventient pour les differentes 
donnees d' entree. 
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REVENDICATIONS 

1 . Procede de masquage de donnees numeriques manipulees 
par un algorithme (1) et decomposees par un systeme de residus a 
partir d'une base finie de nombres ou de polynomes premiers 
entre eux, caracterise en ce qu 1 il consiste a rendre variable la 

5 base de decomposition. 

2. Procede selon la revendication 1, caracterise en ce 
que la base de decomposition est choisie dans une table 
memorisee (6) d 1 ensembles de nombres ou de polynomes premiers 
entre eux. 

10 3. Procede selon la revendication 2, caracterise en ce 

que l 1 ensemble de nombres ou de polynomes premiers entre eux, 
servant a la decomposition par systeme de residus, est choisi 
aleatoirement dans la table memorisee (6) , a chaque nouvelle 
application de 1' algorithme (1) . 

15 4. Procede selon la revendication 1, caracterise en ce 

que la base de decomposition est calculee par un generateur 
pseudo-aleatoire . 

5. Procede selon l f une quelconque des revendications 1 
a 4, caracterise en ce que la base est choisie pour etre 

2 0 compatible avec les longueurs des nombres ou polynomes traites 
par 1 1 algorithme . 

6. Procede selon l'une quelconque des revendications 1 
a 5, caracterise en ce qu'il est applique a des donnees d 1 entree 
deja decomposees par un systeme de residus dans une base 

2 5 d^rigine, les donnees d 1 entrees subissant un changement (2, 3) 

de base de decomposition et le resultat fourni par l 1 algorithme 
(1) subissant, de preference, une transformation inverse (4) 
vers ladite base d'origine. 

7. Procede selon l'une quelconque des revendications 1 

3 0 a 5, caracterise en ce qu f il est applique a des donnees d f entree 

non encore decomposees . 

8. Procede selon l f une quelconque des revendications 1 
a 7, caracterise en ce qu'un ou plusieurs changements de base de 
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decomposition sont effectues pendant 1« execution de 1-algorithme 

9. Circuit de traitement algorithmique de donnees 
decomposes par un systeme de residus a partir d'une base finie 
de nombres ou de polynomes premiers entre eux, caracterise en ce 
qu'il comporte un circuit (5) de selection ou de generation, et 
de memorisation temporaire de ladite base. 

10. Circuit selon la revendication 9, caracterise en ce 
qu'il comporte un element (6) de stockage d'une table de bases 
de nombres ou de polynomes premiers entre eux, ledit circuit de 
selection (5) choisissant, a chaque application de 1 • algor ithme , 
une base dans ladite table. 

11. Circuit selon la revendication 9 ou 10, caracterise 
en ce qu'il comporte un element de verification de conformite, 
entre la base selectionnee pour application des decompositions 
par systeme de residus et les circuits (1) de calculs du circuit 
executant 1 1 algorithme . 
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